이원영 기자
전 세계 호텔, 대학 캠퍼스 등에서 인터넷 기반 세탁 서비스를 제공하는 CSC서비스웍스(CSC ServiceWorks) 서비스에 세탁비를 누구나 회피할 수 있는 보안 버그가 존재한다는 지적이 있다. 이 버그는 올초 CSC서비스웍스 측에 보고됐지만 회사는 버그 수정을 게을리 해 아직도 수정되지 않은 상태다.
CSC서비스웍스는 미국, 캐나다, 유럽 호텔, 대학, 주거지역 등에 설치된 100만대 이상 세탁기 네트워크를 가진 대형 세탁 서비스 기업. 이런 CSC서비스웍스 세탁 서비스에 버그가 존재한다는 사실을 캘리포니아대학교 샌타크루즈 캠퍼스 학생 2명이 발견했다. 이 버그를 악용하면 누구나 CSC서비스웍스 세탁기에 원격으로 명령을 보내 무료로 세탁기를 작동시킬 수 있다고 한다.
이들에 따르면 버그는 CSC서비스웍스 세탁 서비스를 이용할 때 쓰는 전용 모바일 앱 CSC GO가 세탁기와 인터넷을 통해 상호작용할 수 있게 하는 API에 존재한다. CSC GO 앱 네트워크 트래픽을 분석해 앱 보안 검사를 우회하고 앱 자체에서는 사용할 수 없는 명령을 서버에 직접 보낼 수 있는 버그를 발견한 것.
CSC GO 앱은 보안 검사를 기기상 앱에서만 수행하고 서버측은 이를 자동으로 신뢰하기 때문에 서버를 속여 계정 잔고를 변경하는 등 명령을 쉽게 보낼 수 있다.
발견자는 이 버그를 활용해 CSC서비스웍스 세탁 서비스 계정 잔고가 0원이어도 세탁기를 작동시킬 수 있는 코드를 만들었다. 또 같은 버그로 CSC서비스웍스 세탁 서비스 계정에 불법적으로 자금을 추가하는 데에도 성공했다.
이들은 CSC서비스웍스에 버그를 보고하려 했지만 회사에 보안 취약점 보고 페이지가 없어 온라인 문의 폼으로 여러 차례 연락을 시도했다고 한다. 하지만 회사로부터 아무런 답변도 받지 못해 직접 전화를 걸어 버그를 보고하려 했지만 역시 연결되지 않았다. 결국 카네기멜론대학 CERT 코디네이션 센터를 통해 CSC서비스웍스에 버그를 보고했지만 아직도 회사 측은 문제가 된 버그를 수정하지 않았다.
CSC서비스웍스 서버는 새로운 사용자 이메일 주소가 이미 사용 중인지조차 확인하지 않아 누구나 CSC GO 사용자 계정을 만들고 API를 사용해 명령을 보낼 수 있다. 실제로 발견자는 가상 이메일 주소로 새로운 CSC GO 계정을 만들기도 했다.
발견자는 이렇게 큰 회사가 왜 이런 실수를 하는지 그리고 문제를 보고할 수단조차 없는지 이해할 수 없다며 최악의 시나리오는 계정에 불법적으로 자금을 보충해 회사가 큰 손실을 보는 것이라면서 이런 상황에 대비해 최소한의 비용으로라도 보안 전용 이메일을 개설하는 게 좋겠다고 말했다.
한편 이 버그를 악용해 CSC서비스웍스 세탁 서비스를 무료로 이용하는 가장 큰 장애물은 세탁기 전원 버튼을 물리적으로 직접 눌러야 한다는 점이라고 한다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
